Un quadratino con puntini bianchi e neri disposti apparentemente a caso.
Quando Masahiro Hara, l’ingegnere capo di Denso Wave, lo ha creato nel 1994, non aveva idea dell’impatto che avrebbe avuto la sua invenzione: il codice Quick Response, per gli amici QR, per i tecnici “codice a barre a matrice bidimensionale”.
Allora, Hara lo creò per aiutare i robot a tracciare e movimentare le parti auto nelle fabbriche della Toyota. Oggi, i codici QR vengono utilizzati da tutti, per tutto. Qualche esempio. Le fabbriche moderne utilizzano i codici QR per tracciare la produzione, eseguire controlli di qualità, generare flussi di lavoro e altre funzioni di produttività. Molte aziende utilizzano i codici QR per interagire con i clienti e per condividere contatti, app, messaggi, indirizzi, numeri di telefono, indirizzi email, istruzioni, buoni, programmi fedeltà, menù, reti Wi-Fi, pagine di pagamento.
L’aumento della loro popolarità è collegato all’uso degli smartphone, visto che ciascuno di essi è in grado di leggere i codici QR. Naturalmente, dato il numero crescente di persone che scansionano questi codici a barre su dispositivi potenti che conservano e accedono a dati sensibili, si è verificato anche un proporzionale aumento delle truffe relative ai codici QR. Se conosci il rischio, lo eviti. Forse. Comunque occorre conoscerlo. Quindi che si proceda.
Un codice QR contiene dati codificati utilizzando uno schema grafico in bianco e nero. Dati che possono includere, come già detto, URL, indirizzi e-mail, dettagli di rete, password WiFi, numeri di serie, matricole e molto altro. Infatti i codici QR possono memorizzare fino a 4.296 caratteri alfanumerici o 7.089 caratteri numerici e vengono letti fino a 10 volte più velocemente di un codice a barre convenzionale.
I codici QR funzionano codificando i dati in schemi quadrati strutturati. Quando crei un codice QR, converti le informazioni che deve contenere in un modello univoco. Modello che viene decodificato nel suo formato originale da un lettore di codici QR. La forma, dimensioni e l’efficienza di un codice QR variano in base al tipo, tuttavia la maggior parte dei codici QR presenta i seguenti elementi:
Quiet Zone (zona tranquilla) è lo spazio bianco vuoto all’esterno di un codice QR.
Position Detection Pattern (forma di posizione) sono i tre quadrati neri negli angoli.
Alignment pattern (forma di allineamento) è il quadratino in basso a destra, che consente di confermare allo scanner il perfetto allineamento e quindi di leggere il codice da qualsiasi angolazione.
Timing pattern (forma temporale) è una linea che aiuta a distinguere i singoli quadrati e consente di leggere i codici QR danneggiati.
Version information (informazioni sulla versione) identificano la versione del codice QR.
Data cells (celle dati) contengono le informazioni codificate, come la URL.
I codici QR sono generalmente sicuri, ma non sempre. Un codice QR maligno può portare a un sito Web contraffatto, progettato per consegnare, all’ignaro più che incauto utente, diversi tipi di malware o sottrargli dati sensibili, come le credenziali di accesso, i dati della carta di credito o denaro. In un incidente ben documentato, i truffatori utilizzavano codici QR falsi per parchimetri veri per rubare denaro usando siti Web di phishing.
Difficile verificare la sicurezza di un codice QR, ma non impossibile. Lo si deve fare base al contesto in cui appare e al contenuto a cui conduce. Ad esempio, se un codice QR rimanda a un particolare indirizzo, ovvero a una URL, occorre esaminare il collegamento per assicurarsi che non si tratti di una truffa. I codici QR di solito utilizzano URL abbreviate per risparmiare spazio, quindi occorre attendere che venga visualizzata la URL completa.
A proposito di tempo è opportuno ricordare che le truffe di solito cercano di implicare un senso di urgenza e allarme: scansiona questo codice QR per verificare la tua identità, o impedire la cancellazione del tuo account nei prossimi cinque minuti, oppure approfittare di un’offerta che sta per scadere. Si deve prestare attenzione alla fonte del codice e a eventuali segni di manomissione. Bisogna farlo sempre. Vero che i QR presenti su siti Web affidabili, o nelle aziende, o sul menù del ristorante, sono generalmente più sicuri, ma gli hacker possono comunque manipolarli.
Se non si è ragionevolmente tranquilli di non correre rischi eccessivi, sempre seguendo il buon senso e l’istinto, meglio non eccitare codici QR dubbi. Prima di cliccare sempre pensare due volte. I pirati informatici hanno a disposizione varie modalità di attacco utilizzando il QR Code, tutte ben conosciute a chi si occupa di sicurezza informatica.
Se non si è interessati agli aspetti tecnici, andate direttamente al paragrafo successivo. Una breve e sintetica rassegna: QRLjacking, abbreviazione di Quick Response Code Login Jacking, è un tipo di attacco in cui il criminale di turno dirotta una sessione utente per manipolare tutte le applicazioni che utilizzano la funzione “Accedi con codice QR” così che venga utilizzato il codice QR dell’aggressore invece di quello autentico.
Quishing, contrazione di QR Code phishing, processo di utilizzo di un codice QR per un attacco di phishing (frodare), così da indirizzare l’utente a un sito Web dannoso.
Baiting, si traduce con adescamento. Attacco di ingegneria sociale dove gli autori delle minacce utilizzano esche per ingannare le loro prede. In un attacco QR Code Baiting, gli aggressori lasciano codici QR dannosi negli spazi pubblici per invogliare le persone a scansionarli.
Cloning, ovvero clonazione. I codici QR possono essere clonati. Alcuni autori di minacce clonano codici QR legittimi per indirizzare gli utenti a siti Web di phishing per acquisire informazioni sensibili. Scanner Apps. sono le app per scanner QR e codici a barre. Le app di questo tipo sono generalmente sicure, ma alcune possono essere a rischio. Ad esempio, l’aggiornamento di una app per la scansione dei codici a barre su Google Play, alla fine del 2020 ha infettato 10 milioni di utenti.
Malware, ovvero software maligno. Gli aggressori possono collegare un codice QR a un sito Web dannoso che utilizza malware (ad esempio download drive-by, malvertising, Trojan password-stealers, oppure keyloggers) per infettare computer e dispositivi vari, per commettere furti di identità o altri crimini.
Nessuno è al sicuro dalle truffe dei codici QR, compresi i giocatori, come hanno scoperto alcuni utenti di Final Fantasy 14. Ben sapendo che la sicurezza assoluta non esiste, ci sono però delle azioni che consentono di aumentarne il livello.
Breve vademecum in dieci punti, sono dieci per puro caso, da seguire dopo avere attivato il cervello, prima di leggere codici Qr e prima di cliccare alcunché:
1. Adottare misure di sicurezza su Internet prima di creare o scansionare codici QR.
2. Utilizzare sempre un generatore di codici QR affidabile quando se ne crea uno e proteggere con password i propri codici QR se contengono informazioni riservate.
3. Utilizzare sempre uno scanner di codici QR affidabile.
4. Utilizzare l’antimalware per Android per proteggere il dispositivo mobile dagli autori di minacce che utilizzano i codici QR come vettore di attacco.
5. Utilizzare la sicurezza iOS per proteggere iPhone e iPad da siti Web truffa e altri vettori di minacce derivanti da codici QR dannosi.
6. Verificare qualsiasi codice QR che si vede in uno spazio pubblico prima di scansionarlo. Allo stesso modo, assicurarsi che qualsiasi codice QR ricevuto via e-mail sia autentico.
7. Evitare di pagare chiunque tramite codici QR. Esistono molte alternative sicure meno suscettibili agli attacchi di phishing.
8. Alcuni scanner scansionano automaticamente i codici QR. Disattivare l’opzione per impedire al dispositivo di scansionare codici QR dannosi.
9. Configurare le autorizzazioni del dispositivo per evitare di condividere informazioni private o funzionalità sensibili per impostazione predefinita.
10. Conservare i codici QR personalizzati, come informazioni sulle vaccinazioni o documenti di viaggio, in una cartella sicura.
Brevi suggerimenti su come creare un codice QR, se non in tutta sicurezza, almeno quasi. · Selezionare un generatore di codici QR affidabile.
· Controllare il contenuto prima di codificarlo. Ad esempio, controllare ogni singolo carattere se si sta codificando una password WiFi. Allo stesso modo, controllare la URL se si reindirizzano gli utenti a un sito Web.
· Personalizzare colore, cornice e forma del proprio codice QR.
· Crittografare il codice QR e aggiungere protezione tramite password se si codificano informazioni sensibili.
· Sottoporre il codice QR generato a verifica e test prima di distribuirlo.
· Monitorare il proprio codice QR per evitare problemi di sicurezza.
Oltre alle precauzioni appena elencate, specifiche del codice QR, sempre e comunque seguire quelle generali, qui riportate.
Utilizzare un blocco truffe o un filtro web per proteggere il sistema dalle truffe conosciute e proteggere il dispositivo con un software di sicurezza. Se non si è sicuri della provenienza, non fidarsi di e-mail o messaggi istantanei, o codici QR. C’è sempre la possibilità che gli account di amici, familiari e colleghi siano stati compromessi, quindi non si può mai essere sicuri al 100 per cento che ciò che si riceve sia autentico.
Gli account digitali devono essere protetti il più possibile, le reti di sicurezza devono essere sempre attive. L’autenticazione a due fattori deve essere attivata per ogni account che la offre.
Assicurarsi che i dati personali siano aggiornati, come indirizzi email di backup e numeri di telefono, che possono essere utilizzati per recuperare account danneggiati. Uscire dai dispositivi che non sono più in uso ed eliminare i vecchi account di cui non si ha più bisogno. Sempre tenere aggiornato il software. Oggi è facile farlo, quindi fatelo. Le ultime versioni dei browser Web mobili più diffusi sono dotate di tecnologia integrata per individuare collegamenti fraudolenti.
Queste protezioni non sono infallibili, ma più aggiornati sono il browser e il sistema operativo mobile, maggiori sono le possibilità di ricevere un avviso se si sta per visitare un luogo non sicuro sul Web, e sono tanti. Sempre ricordarsi la raccomandazione di Andy Grove, fondatore e proprietario della Intel: “Solo i paranoici sopravvivono”. Felice 2024 e che sia sicuro
